Le Tribunal de l’Union européenne a confirmé, le 3 septembre 2025, la validité de l’adéquation du niveau de protection des données à caractère personnel Europe et Etats-Unis.
Cette décision, fondée sur le recours formé par le député Philippe Latombe, confirme que les garanties mises en place, notamment via la Data Protection Review Court (DPRC), assurent un niveau de protection adéquat. L’accord sur l’adéquation du niveau de protection entre l’UE et les États-Unis a déjà été évalué en 2015 puis en 2020.
“Le Tribunal relève que, comme cela a été jugé par la Cour dans les arrêts Schrems I et Schrems II, dans le cadre d’une décision d’adéquation, la Commission n’est pas tenue de s’assurer que les dispositions pertinentes du pays tiers sont identiques à celles en vigueur dans l’Union, mais qu’elles sont substantiellement équivalentes à celles garanties par le droit de l’Union en vertu du RGPD, lu à la lumière de la Charte. Il s’ensuit que, en l’espèce, le Tribunal est tenu de vérifier le bien-fondé du constat d’adéquation effectué par la Commission dans la décision attaquée, selon lequel les dispositions du droit des États-Unis concernant l’établissement et le fonctionnement de la DPRC offrent des garanties substantiellement équivalentes à celles prévues par le droit de l’Union à l’article 47, deuxième alinéa, de la Charte. De telles garanties sont offertes, en particulier, lorsque le texte juridique établissant ce tribunal et définissant ses règles de fonctionnement vise à assurer son indépendance et son impartialité à l’égard des autres pouvoirs, notamment du pouvoir exécutif, et ce malgré le fait que ledit texte ne constitue pas, d’un point de vue formel, une loi », précise les magistrats.
Par ailleurs, les magistrats considèrent que la Commission est responsable de la surveillance du cadre juridique, qui est par ailleurs évolutif et réversible. “Le Tribunal relève que la Commission est tenue de suivre de manière permanente l’application du cadre juridique sur lequel se fonde la décision attaquée, dans le but de déterminer si les États-Unis d’Amérique continuent d’assurer un niveau de protection adéquat. Ainsi, si le cadre juridique en vigueur aux États-Unis au moment de l’adoption de la décision attaquée change, la Commission peut décider, si nécessaire, de suspendre, modifier ou abroger la décision attaquée ou d’en restreindre le champ d’application”.
Pour Max Schrems, président de la Noyb, “le Tribunal s’écarte massivement des décisions de la CJUE. Les protections prévues par le nouvel accord sont presque un copier-coller à l’identique des accords précédents que la CJUE a jugés illégaux dans les affaires Schrems I et Schrems II. À certains égards, les protections sont même pires que celles prévues par l’ancien décret, qui n’étaient pas suffisantes pour la CJUE. Il est donc surprenant que le Tribunal rende une décision différente sur la troisième version de l’accord UE–États-Unis par rapport aux deux versions précédentes“.
“Il s’agissait d’une contestation plutôt limitée. Nous sommes convaincus qu’un examen plus large du droit américain – en particulier l’utilisation de décrets par l’administration Trump – devrait aboutir à un résultat différent. Nous examinons nos options pour introduire un tel recours. Si la Commission a peut-être gagné une année supplémentaire, nous n’avons toujours pas de certitude juridique pour les utilisateurs et les entreprises“, prévient Max Schrems.
